Neue Waledac-Kampagne
Malware-Spam lockt mit SMS-Spion
Eine neue Spam-Kampagne wirbt für ein Tool, das es angeblich ermöglichen soll vom PC aus die SMS von Freunden und Fremden zu lesen. Tatsächlich wird über die zugehörige Website Malware aus der Waledac-Familie verbreitet.
Die neueste Masche der Sturm-Bande, um ihre Malware unters Volk zu bringen, setzt einmal mehr auf Social Engineering. Wer würde nicht gerne anderer Leute SMS lesen können? Das soll vorgeblich ein neues Tool ermöglichen, das in Spam-Mails beworben wird. Die sind so knapp gehalten wie man das auch schon beim Sturm-Wurm gewohnt war - bei seinem mutmaßlichen Nachfolger Waledac werden auch nicht viele Worte gemacht.
Die Mails kommen mit einem Betreff wie "Read his SMS" sowie gefälschten Absenderangaben und werden über das eigene Botnet verbreitet. Der Text verspricht "Now, It's possible to read other people's SMS" und verweist auf eine Web-Adresse. Als Web-Server für diese Seiten dienen ebenfalls gekaperte Rechner des Waledac-Botnet.
Auf der Website gibt es ein wenig mehr Text als in den Mails. Hier wird betont, dass man die Software "SMS Spy" nicht auf dem Handy des Auszuspionierenden installieren müsse. Es genüge ein PC mit Internet-Anschluss, um alle SMS lesen zu können. Besonders originell ist der Schlusssatz, in dem es heißt, dies sei ein "extrem neuer Service". Ein Download-Link soll eine "Free 30-Day Trial" Version der Software liefern.
Die vorgebliche Testversion wird unter wechselnden Dateinamen zum Download angebotenen, wie schon bei früheren Waledac-Kampagnen. Mal heißt sie "smsspy.exe", mal "smsreader.exe" und manchmal auch schlicht "sms.exe". Die Dateien sind etwa 400 KB groß und werden mehrmals täglich durch leicht modifizierte Fassungen ersetzt. Damit wird das übliche Katz-und-Maus-Spiel mit den Antivirusherstellern getrieben, das die Sturm-Bande recht gut beherrscht.
Ist der Schädling erstmal auf dem Rechner installiert, werden keine SMS gelesen sondern Spam-Mails verschickt - mehrere 10.000 am Tag sind keine Seltenheit. Waledac kann aber noch mehr - er sammelt auf dem Rechner Mail-Adressen, kann zu DoS-Angriffen abkommandiert werden oder spioniert Passwörter aus.
Die Erkennung aktueller Waledac-Malware durch Antivirusprogramme ist aufgrund des erwähnten Katz-und-Maus-Spiels eher bescheiden. Die Tabelle zeigt das Ergebnis für zwei unterschiedlich alte Waledac-Varianten von heute Morgen. Die Antivirushersteller hatten etwa vier bis fünf Stunden Zeit aktualisierte Virendatenbanken bereit zu stellen.
| Antivirus | Malware-Name (1) | Malware-Name (2) |
|---|---|---|
| AntiVir | TR/Crypt.ZPACK.Gen | --- |
| Authentium ** | --- | --- |
| Avast! | Win32:WalDrop [Drp] | --- |
| AVG | --- | --- |
| Bitdefender | Trojan.Waledac.Gen.1 | Trojan.Waledac.Gen.1 |
| CA-AV | --- | --- |
| ClamAV | --- | --- |
| Dr Web | --- | --- |
| Fortinet | --- | --- |
| F-Prot | --- | --- |
| F-Secure | Email-Worm.Win32.Iksmas.all | Packed.Win32.Krap.i |
| G-Data AVK 2008 | Email-Worm.Win32.Iksmas.all | Packed.Win32.Krap.i |
| G-Data AVK 2009 | Trojan.Waledac.Gen.1 | Trojan.Waledac.Gen.1 |
| Ikarus | --- | --- |
| K7 Computing | --- | --- |
| Kaspersky | Email-Worm.Win32.Iksmas.all | Packed.Win32.Krap.i |
| McAfee | W32/Waledac.gen.j | --- (W32/Waledac.gen.l) * |
| McAfee Artemis | W32/Waledac.gen.j | --- |
| McAfee GW Edition *** | Trojan.Crypt.ZPACK.Gen | --- |
| Microsoft | Trojan:Win32/Waledac.gen!A | Trojan:Win32/Waledac.gen!A |
| Nod32 | Win32/Waledac.IX trojan | Win32/Waledac.IY trojan |
| Norman | --- | --- |
| Panda | suspicious | --- |
| Panda (Online) | suspicious | suspicious |
| QuickHeal | --- | --- |
| Rising AV | --- | --- |
| Sophos | Mal/WaledPak-A | Mal/WaledPak-D |
| Spybot S&D | --- | --- |
| Sunbelt | --- | --- |
| Symantec | --- | --- |
| Trend Micro | --- | --- |
| VBA32 | --- | --- |
| VirusBuster | --- | --- |
Quelle: AV-Test, Stand: 16.04.2009, 13:20 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** früher als "Command AV" aufgeführt
*** vormals SecureWeb-GW, Webwasher
* noch nicht in offiziellen Virensignaturen enthalten
** früher als "Command AV" aufgeführt
*** vormals SecureWeb-GW, Webwasher
